리스크기반 내부통제 체계 구축- IT를 활용한 상시모니터링 체계 구축-

BY 채수완   2019-02-18
조회 8043 8
음성으로 듣기



뛰는 리스크 위에 나는 내부통제

리스크는 마치 생물과 같다. 리스크는 통제하면 또 다른 형태로 진화하는 속성이 있다. 예를 들어, 위임전결 규정상 팀장 전결로 부서 회식 명목의 지출 가능한 금액 범위가 50만 원이라고 가정해보자. 회식을 하다 보면 상황에 따라 예상치 못하게 지출이 커질 때도 있다. 실제 회식비로 70만 원을 썼지만 부서장 결재를 피할 목적으로 법인카드를 두 차례에 걸쳐 40만 원과 30만 원으로 나누어 결제했다면 이러한 행위는 타당한가? 법인카드를 분할결제하여 한도를 초과한 금액을 지출하더라도 명확한 규정과 지침이 없을 경우 이를 효과적으로 통제하기 어렵다. 그렇기 때문에 내부통제 운영원칙에서 ‘부정 위험평가’ 및 ‘위험 방지 프로그램’을 설계해야 한다고 제시하고 있다.

리스크는 외부적 요인에 의한 것도 있지만 내부적 요인에 의한 것도 있다. 특히 리스크는 내부통제 취약점을 파고든다. 리스크의 양태가 재무보고 관련 업무의 비효율성이나 부정행위, 재무적 오남용, 그리고 규정 위반과 같은 형태로 나타난다. 이러한 유형의 리스크는 결국 기업의 자산 손실을 초래하기도 하고 재무적 영향으로 인해 주주와 이해관계자들에게 부정적 영향을 끼치기도 한다.

리스크 관리와 내부통제

리스크가 관리된다는 것은 무엇을 의미할까? 경영목표를 달성하기 위해 집중하는데 장애가 되는 요소를 관리함에 있어서 전사적으로 대응해야 할 상황이 있고, 각 업무영역별로 자체 대응할 상황이 있다. 전사 차원에서 리스크를 대응하기 위해서는 리스크를 식별하기 위한 포트폴리오를 갖춰야 한다.

여기서 리스크 포트폴리오라 함은 전략(Strategy), 재무(Financial), 운영(Operation), 컴플라이언스(Compliance), 재난/재해(Crisis), 이벤트(Event) 등의 유형에 따라 기업이 리스크 상황에 처했을 때 어떻게 대응해야 할지 체계를 마련하는 것을 말한다. 전사 통합적 관점에서 리스크 관리는 우선 리스크를 빠짐없이 식별하고, 리스크가 전사로 확산됨에 따라 각 부서 간에 어떤 영향을 미치게 되는지 평가하는 것이 필요하다.

전사 차원에서 식별된 리스크 중에서 어떤 리스크가 재무적 또는 비재무적 영향이 큰 지평 가하여 선택과 집중을 위한 핵심 리스크(Key Risk)를 선정하는 것이 필요하다. 이때 전사 차원의 일관된 리스크 평가 과정을 거쳐 핵심 리스크를 선정하고 주기적으로 재평가를 통한 최신 화가 필요하다. 핵심 리스크 중심으로 리스크를 조기에 인지하는 것과 일상적으로 내부통제활동을 수행하는 체계를 마련하는 것이 필요하다. 이러한 리스크 관리를 위해서는 내부통제를 위한 자원의 배분이 필요하고, 통제가 효과적이고 효율적으로 운영될 수 있도록 거버넌스, 통제 프로세스, 인프라가 갖춰져야 한다.

내부통제가 유효하게 관리되기 위해서는 사전적 관리를 위한 상시 모니터링 체계가 갖춰져야 하고, 지속적인 내부통제활동이 가능하도록 통제 운영 절차와 인프라가 필요하다. 리스크 관리는 식별로 그쳐서는 안되며, 현행화를 통한 실행력을 갖추는 것이 필요하다. 또한, 핵심 리스크를 중심으로 내부통제 현황과 통제절차가 실제와 일치하도록 지속적으로 관리하고 업무 프로세스에 내재화되어야 한다.


내부통제체계 구축의 목적

내부회계 관리 제도는 건전한 자본시장을 유지하는 데 있어서 기업의 투명한 운영과 성실한 재무보고와 법규 준수가 반드시 필요하다는 공감대에서 출발한다. 경영실적이 반영된 재무제표가 공시될 때 그 결과에 대해 누구나 합리적 확신을 얻기를 원한다. 이를 위해서는 회사가 경영목표를 달성하기 위해 수행하는 업무 과정에서 자원을 효과적이고 효율적으로 사용하여 계속기업으로서 책임과 역할을 다했는가를 중요하게 고려한다.

주로 경영실적은 재무제표의 숫자로 나타나게 된다. 특히 외부 투자자나 주주, 감독 기구, 그리고 불특정 다수는 그 회사의 성과와 현재 상태를 파악하고자 할 때 재무제표를 중요하게 고려한다. 내부 및 외부 보고를 위해 정확하고 신뢰할 수 있는 재무정보 및 비재무 정보를 작성하고 오류가 없도록 경영진이 이를 충분히 검토해야 하는 이유가 여기에 있다. 만일, 분식회계와 같이 부정확한 재무정보가 공시될 경우 자본시장에 혼란을 가져올 수 있기 때문에 재무제표가 왜곡되지 않도록 재무정보의 작성 과정에서 발생할 수 있는 주요 리스크를 식별하고 이를 효과적으로 대응하기 위한 내부통제 설계와 운영이 매우 중요하다.

내부통제가 중요한 만큼 기업의 최고 의사결정기구인 이사회에 보고 할 수 있는 보고체계를 유지하는 것이 중요하다. 이는 경영진이 투명하고 윤리적으로 경영하는지를 이사회에 보고함으로써 자가 통제의 강제력을 부여하는 의미도 있다. 기업도 일반 시민과 같이 법인격으로서 상법에서 정한 법규 및 각종 산업 규제, 감독규정 등을 성실히 준수할 의무가 있다. 기업 내부 정관에 따라 수립된 내부 운영규정이나 업무지침 역시 리스크를 줄이기 위해 내부통제 요소가 포함되도록 설계되고 운영되어야 한다.

내부통제설계 및 운영원칙

내부통제는 2013년 제정된 NEW COSO 프레임워크에 기반한다. 기존의 COSO 프레임워크(Framework)는 내부통제 구성요소별로 관련된 정의를 나열하는 방식으로 기술했다. 그러나 개정된 NEW COSO 프레임워크는 구성요소별로 달성되어야 하는 17가지 원칙(Principal)을 정의하고, 각 원칙 별로 달성을 해야 하는 중점 고려 사항(Point of Focus)을 기술함으로써 원칙 기반 접근법(Principles-Based Approach)을 개념 체계로 하고 있으며, 지배 구조 감독(Governance Oversight)의 강화에 중점을 두고 있다.

내부통제제도는 5가지 구성요소와 17가지 원칙으로 이루어져 있다. 5가지 구성요소에 대해 살펴보면 다음과 같다.

첫째 ‘통제 환경’은 내부통제의 기반으로 도덕성과 윤리적 가치에 대한 의지와 태도를 나타낸다. 내부통제제도 운용과 관련된 조직의 책임과 역할을 분명히 하고 해당 업무를 수행할 수 있는 조직체계의 구성, 교육을 포함한 인력운용 및 성과평가와의 연계 등의 체계를 말한다.

둘째, ‘위험평가’는 재무제표 왜곡 표시에 대한 리스크를 효과적으로 통제하기 위해 리스크별 중요성의 정도를 평가한다. 리스크를 평가할 때 양적 기준과 질적 기준으로 평가함과 동시에 부정 위험평가를 포함해서 고려해야 한다. 회사는 사업을 영위하면서 조직, 사업영역, 프로세스 등이 변화하기 마련이다. 따라서 기존에 평가한 위험은 지속적으로 재검토하여 평가 결과 조정이 필요하다. 리스크는 상황에 따라 높아질 수도 낮아질 수도 있다. 이러한 내재적 특성으로 인해 매년 리스크 평가는 유지 및 관리 차원에서 재수생이 필요하다.

셋째, ‘통제활동’은 이 사회와 경영진이 제시한 경영목표 달성을 위한 정책이나 지침, 업무절차가 준수될 수 있도록 체계를 마련하는 것을 말한다. 일반적으로 통제활동은 업무성과 검토, 정보기술(IT) 일반 통제, 승인, 대사, 물리적 통제 등 다양한 방법이 포함된다.

넷째, ‘정보 및 의사소통’은 조직 구성원이 내부통제제도의 책임을 수행할 수 있도록 신뢰성 있는 정보를 활용할 수 있는 체계를 마련하고 통제 구성요소에 대한 대/내외 의사소통이 원활하게 이루어질 수 있도록 체계를 마련하는 것이다. 일반적으로 주요업무는 정보시스템을 활용하기 때문에 그로부터 추출되는 자료는 신뢰성이 생명이다. 따라서, 내부통제 체계가 효과적이고 효율적으로 유지되기 위해서는 정보시스템 일반 환경에 대한 내부통제 설계 및 운영이 필요하다.

다섯째, ‘모니터링 활동’은 내부통제제도의 설계와 운영의 효과성을 평가하고 유지하기 위해 상시적은 모니터링과 독립적인 평가 또는 두 가지의 경험을 고려한 평가를 수행하고 발견된 미비점을 적시에 개선할 수 있는 체계를 포함한다.

위의 다섯 가지구성요소를 비롯해 17개의 원칙이 존재할 때 내부통제가 원칙 기반으로 설계되었으며, 원칙이 기능할 때 계속적인 내부통제가 이루어지고 있다고 판단할 수 있다. 5가지 구성요소가 유기적으로 연결되고 이를 반영한 내부통제가 운영될 때 재무보고의 신뢰성을 저해하는 리스크가 감소된다고 합리적인 판단을 할 수 있다.

리스크 기반 상시 모니터링

리스크 기반 내부통제를 위한 기본 전제는 어느 업무영역이 리스크가 높으며, 재무적 영향이 큰지 식별하는 데서 출발한다. 리스크 식별은 곧 내부통제에 필요한 인적, 물적 자원의 선택과 집중을 위한 운선 순위화를 의미한다. 주요 프로세스 상의 통제와 관련된 리스크를 식별하고 리스크를 대응하기 위한 운영 체계를 마련함으로써 장기적인 리스크 관리 역량 강화가 가능하다.

주기적인 모니터링 활동은 내부통제 상의 예외사항을 조기에 인지하도록 한다. 또한 이전에 발견된 예외사항과 부정 징후 및 규정 위반의 소지가 있는 행위들에 대해 개선했는지 이행 점검하는 차원에서도 필요한 활동이다. 상시 모니터링은 예외사항을 시스템에서 추출하여 내부통제 평가를 보조하는 역할을 할 수 있다.

내부통제의 한 방법으로 상시 모니터링이 활용된다. 상시 모니터링은 말 그대로 주기적이고 지속적인 모니터링 활동을 하는 것을 말한다. 상시 모니터링을 위해서는 우선 업무영역별로 리스크를 식별해야 한다. 회사가 속한 산업에 따라 또는 핵심 사업영역에 따라 그에 맞는 리스크가 식별되어야 한다. 그리고, 발생 빈도와 재무적 영향에 따라 리스크의 노출 정도를 평가한다. 회사마다 규정, 조직, 업무 프로세스, 인프라 등 리스크를 통제할 수 있는 환경이 구축되어 있다. 이러한 통제 환경의 수준에 따라 리스크 노출 정도가 경감될 수 있기 때문에 잔여 리스크를 평가하여 어떤 리스크에 내부통제역량을 집중해서 관리해야 할지 판단해야 한다.

통제해야 할 대상이 식별되었다면 이를 어떤 방법으로 효과적으로 통제할지 운영방법을 선택하는 것이 중요하다. 상시 모니터링은 마치 도로 위에 CCTV와 같다. 비정기적으로 적발 위주의 통제를 할 경우 통제 당시에는 효과가 있을 수 있으나 예방효과는 낮을 수 있다. 따라서, 상시 모니터링 대상을 식별한 후 시나리오를 설계하고 정량적 데이터 분석 또는 업무처리 과정과 결과를 모니터링 함으로써 리스크를 효과적으로 예방하고 조기에 인지하여 교정할 수 있다.

상시 모니터링의 필요성

일시적인 경영 진단이나 내부통제로 인한 통제 수준의 일시적 변화가 아닌 지속적이고, 상시적인 모니터링을 체계를 구축하여 기대 통제 수준에 근접한 통제 수준을 유지할 수 있도록 함으로써 Fraud(부정), Waste(낭비), Abuse(오/남용) 등을 효과적으로 제거할 수 있다.

리스크 관리체계를 갖추는 이유는 부정의 위험을 방지하고, 기업 전반에 걸친 자원낭비를 비롯해 비용의 오남용 등 운영의 비효율성을 통제하기 위함이다. 일반적으로 상시 모니터링을 도입하는 목적은 전사적 자원관리 시스템(ERP)에서 생산되고 활용되는 트랜잭션 데이터를 모니터링 함으로써 업무처리 과정에서 발생할 수 있는 각종 리스크를 조기에 식별할 수 있다.

산재해있는 데이터를 통합 분석해 리스크를 관리할 수 있으며, 업무 프로세스를 마치 엑스레이(X-ray)로 들여다보듯 함으로써 어디에 문제가 있는지 식별할 수 있다. 이를 통해 업무규정 위반사항을 적발하고, 인적오류(Human Error) 식별, 패턴분석을 통한 이상 징후 식별, 부정 위험 식별, 불필요한 지출 모니터링, 비효율적 업무처리 등을 지속적으로 관리하고 조치함으로써 리스크에 효과적으로 대응할 수 있다.

내부통제구축과 상시모니터링

내부통제 체계 구축의 원칙 16에 따르면 ‘상시적인 모니터링과 독립적인 평가 수행’을 한다고 되어있다. 회사는 내부통제를 운영함에 있어서 재무보고와 관련된 통제활동이 상시적인 모니터링이 되도록 환경을 마련해야 한다. 해당 통제활동에 대해 충분한 지식과 경험을 갖춘 인력이 상시적인 모니터링과 독립적인 평가를 수행하게 되는데 이때 업무 프로세스에 대한 충분한 이해를 바탕으로 변화하는 상황에 유연하게 대응해야 한다. 따라서, 상시 모니터링은 유연하고 확장 가능하도록 설계되어야 하며 통제 운영의 적정성을 확인하기 위해 정보시스템을 활용할 수 있다.

내부통제를 비주기적으로 실시한 후에는 통제 수준이 일시적으로 높아지나 시간이 흐르면서 통제 이전 수준으로 돌아가는 현상이 반복된다. 통제를 우회(By Pass) 하는 다양한 방법이 생기면서 변형된 형태의 리스크가 계속 진화하게 된다.

내부통제를 상시적으로 수행하는 체계를 마련할 경우, 지속적인 모니터링에 의한 연속적 통제로 실제 통제 수준이 통제 기대수준으로 수렴한다. 또한, 리스크 조기 탐지 및 경영지표의 변화 추이에 대한 유의미한 정보를 제공하여 의사결정을 지원한다.

미국의 부정 조사협회인 ACFE(Association of Certified Fraud Examiner)에 따르면, 부정부패는 부패(Corruption), 자산 횡령(Asset Misappropriation), 허위보고(Fraudulent Statement)의 세 가지로 분류한다. 우선 부정/부패는 이해 상충, 뇌물수수, 불법행위, 거래선 폐해, 협력사 특혜 제공 등이 있다. 자산 횡령의 경우, 현금 및 예금 등의 절도나 은닉, 자산 유용, 자산 절취, 허위거래를 통한 횡령, 허위 급여 및 보상을 통한 횡령, 비용 오남용, 비용 중복청구, 수표 위조, 허위 기재를 통한 지급 등이 있다. 허위보고는 자산이나 수익 의과 대계상 또는 부채/비용의 과소계상을 통한 분식회계, 문서나 각종 자격 증명 서류 위조 등이 있다.

부정행위를 유발하는 내적 동기나 외적 동기가 있지만 부정행위가 완성되기 위해서는 특히 이해 상충에 있어 공모가 필요한 경우가 많다. 따라서, 이해 상충이 되는 직무는 분리하고 행위의 적정성과 비정상적 업무처리건에 대해주기적으로 모니터링하는 내부통제 설계가 필요하다.

내부통제 개선기회 확보

주요업무 프로세스별로 업무활동에 대한 정의와 내부통제 현황을 파악하기 위해서는 업무 흐름을 도식화하고 그 과정에서 내부통제 취약점이 어느 부분에 존재하는지 식별하는 작업이 필요하다. 만일 판매 오더 수주 시 해당 거래처의 주문 수량, 단가를 시스템에 입력하게 된다. 이때 해당 거래처의 기존 주문 물량이 현재 생산 중이거나 생산 완료 후 출고 대기 중이라면 미수금만큼 여신 한도(Credit Limit)에 반영해서 차감해야 한다. 그러나 오더 입력 시 거래처의 여신 한도 초과 여부에 대해 관리하는 규정이 미비하거나 사전에 점검하는 활동이 정의되어 있지 않을 경우 거래처의 리스크를 고려하지 않고 거래함으로써 미회수채권이 증가할 리스크가 높아질 수 있다. 제품 출고나 회계의 매출 확정 시 담당자의 확인에 의존하지 않고 자동으로 오더 내역과 생산, 물류, 세금계산서 발행 내역이 모두 검토되어 거래 한도를 조정할 필요가 있는지 또는 리스크가 높을 경우 추가 주문을 취소하는 등의 통제를 재설계할 수 있을 것이다. 이러한 활동은 내부통제 개선 기회를 확보하는데 매우 중요한 역할을 한다. 내부통제를 설계하고 운영할 때 정보시스템을 활용한 상시 모니터링은 통제 효과를 높일 수 있는 하나의 도구로 활용할 수 있다.


효과적인 내부통제를 위한 상시모니터링

내부통제는 회사의 모든 주요업무가 대상이 되지만 내부회계 관리 제도는 그중에서도 특히 재무보고와 관련된 영역에 해당된다. 재무보고를 위한 업무 중 회계처리, 자금관리, 인사관리 등 대체로 어느 회사나 유사하게 수행되는 것이 있고, 회사 고유의 리스크를 식별해야 하는 경우가 있다. 이때 리스크의 우선순위가 높은 통제활동을 핵심 통제(Key Control)로 구분한다. 핵심 통제 중 정량적으로 분석이 가능한 경우 자동화된 통제이면서 상시모니터링 대상이 될 수 있다. 상시모니터링의 접근법은 리스크를 식별하고 평가하며, 데이터 분석이 가능한 통제에 적용 가능하다. 정량적으로 데이터를 수치화하는 경우, 해당 리스크의 지표를 설정한다. 핵심지표(Key Risk)는 상시 모니터링 대상일 경우, 데이터 분석 결과를 주기적으로 점검할 수 있도록 도와준다. 이를 통해 향후 개선과제가 도출되고 비즈니스 영역도 확장될 것이다.

상시모니터링의 기대효과

일시적인 통제로 적발은 가능할 수 있으나 예방효과는 떨어진다. 내부통제는 통제 환경을 체계적이고 시스템적으로 마련하여 리스크를 예방하는 데 의의가 있다. 최근 외부환경 변화로 경영 환경의 불확실성이 증가되었다. 그로 인해 경영진의 내부통제 책임이 증가했고, 준법경영 및 투명경영에 대한 사회적 책임이 증가하였다. 리스크에 대한 사전 예방적 조치의 필요성이 증가함에 따라 감사업무의 패러다임도 변화했다. 최근에는 기존적발 위주의 내부통제에서 경영 컨설팅 형태로 진화하고 있다.

내부환경의 관점에서 보면 업무범위 확대 및 변화를 반영한 내부통제 설계가 필요하다. 전사 차원에서 추진되는 내부통제 고도화는 전사업무에 대한 리스크 식별 및 체계적 관리가 필요하다. 사전 예방체계 구축을 위해 리스크가 발생하기 이전부터 리스크 요소를 파악하고 이를 효과적으로 통제하기 위한 절차를 마련해야 한다. 내부통제 운영 시 자료추출 역시 상시 모니터링 체계에서 구현 가능하다.

모든 업무내용의 디지털화도 빼놓을 수 없다. ERP 시스템에서 운영되는 데이터는 기본적으로 정합성이 일치해야 한다. 만일 정합성 검토 결과 기준정보가 최신화되어 있지 않다거나 오류가 있다면 해당 시스템과 관련된 통제활동은 유효하지 않을 수 있다. 정보기술을 활용한 내부통제의 가장 큰 장점은 전체 데이터 분석에 기반한 효과적인 내부통제가 가능하다는 것이다. 기업의 주요업무활동은 시스템을 통해 이루어지기 때문에 마찬가지로 그 결과도 데이터 형태로 축적된다. 축적된 데이터를 활용한 리스크 관리는 보다 효과적일 수 있다. 자동화된 형태의 내부통제는 사람에 의해 수작업으로 이루어지는 내부통제에 비해 효율적이기 때문이다. 재무 데이터는 정합성과 완전성이 중요하다. 전체 데이터 분석에 기반한 내부통제가 샘플링에 의한 내부통제에 비해 효과적이다.

경영활동에서 100 – 1은 99가 아니라 0이 될 수 있다. 리스크는 마치 눈덩이처럼 불어날 수 있는 특징이 있다. 따라서, 적절한 내부통제와 리스크 대응활동을 통해 누적되고 확산되지 않도록 하는 것이 필요하다. 그러한 의미에서 상시 모니터링은 내부통제의 효과적인 도구로 활용될 수 있다.